CTI 介面及相關設定

以下「從最內到最外」依序列出設定順序。設定時不一定非按照此順序。

  1. 設定 CTI 訂閱的應用程式伺服器

  2. 為 mTLS 認證 CTI 訂閱配置 XSP|ADP

  3. 安全 CTI 介面的開放式輸入連接埠

  4. 為您的 Webex 組織訂閱 BroadWorks CTI Events 服務

設定 CTI 訂閱的應用程式伺服器

使用 Webex for Cisco BroadWorks CTI 用戶端憑證的一般名稱 (CN) 來更新應用程式伺服器的 ClientIdentity。

請針對與 Webex 搭配使用的每個應用程式伺服器,新增憑證身份至 ClientIdentity,如下所示:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Webex for Cisco BroadWorks 用戶端憑證的通用名稱是 bwcticlient.webex.com

在 CTI 介面上設定 TLS 和密碼

XSP|ADP CTI 介面的可設定等級如下:

最一般 = 系統 > 傳輸 > CTI 介面 > CTI 介面 = 最明確

用於檢視或修改不同 SSL 設定的 CLI 內容包括:

明確性

CLI 內容

系統(全域)

(R22 及更新版本)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

此系統的傳輸通訊協定

(R22 及更新版本)

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

此系統上的所有 CTI 介面

(R22 及更新版本)

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

此系統上的特定 CTI 介面

(R22 及更新版本)

XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

全新安裝時,系統等級預設安裝以下密碼。如果在介面層級(例如,在 CTI 介面或 HTTP 介面)未配置任何內容,則套用此密碼清單。請注意,此列表可能會隨時間而變化:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

讀取 XSP 上的 CTI TLS 介面設定|ADP

  1. 登入 XSP|ADP 並導航至 XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. 輸入 get 命令並讀取結果。您會看到介面(IP 位址),也會看到每個介面是否需要伺服器憑證以及是否需要用戶端驗證。

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

新增 TLS 1.2 通訊協定至 CTI 介面

與 Webex Cloud 互動的 XSP|ADP CTI 介面必須配置為 TLS v1.2。雲端不會接受舊版的 TLS 通訊協定。

在 CTI 介面上設定 TLSv1.2 通訊協定的步驟如下:

  1. 登入 XSP|ADP 並導航至 XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. 輸入命令 get 查看此介面上已使用哪些協定。

  3. 輸入指令 add TLSv1.2 ,確保介面與雲端通訊時可以使用TLS 1.2。

在 CTI 介面上編輯 TLS 加密設定

在 CTI 介面上設定所需密碼的步驟如下:

  1. 登入 XSP|ADP 並導航至 XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. 輸入 get 命令查看此介面上已使用哪些密碼。必須至少有一個來自 Cisco 建議的套件(請參閱概述部分中的 XSP|ADP 身分和安全要求 )。

  3. 輸入指令 add 向CTI介面新增密碼。

    XSP|ADP CLI 需要 IANA 標準密碼套件名稱,而不是 openSSL 密碼套件名稱。例如,要將 openSSL 密碼 ECDHE-ECDSA-CHACHA20-POLY1305 新增至 CTI 接口,您可以使用: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    請參閱https://ciphersuite.info/以按任一名稱尋找套件。

CTI 介面的信任錨(R22 及更高版本)

此過程假定 XSP|ADP 面向互聯網或透過直通代理面向網際網路。橋接 Proxy 的憑證設定則有所不同(請參閱 TLS 橋接 Proxy 的 TLS 憑證需求)。

對於基礎架構中向 Webex 發布 CTI 事件的每個 XSP|ADP,請執行下列操作:

  1. 登入 Partner Hub。

  2. 前往 服務 > 附加連結 並點擊 下載 Webex CA 憑證 以在本機上取得 CombinedCertChain2023.txt

    這些文件包含兩組兩份證書。您需要在將檔案上傳到 XSP|ADP 之前對其進行拆分。所有文件都是必需的。

  3. 將證書鏈拆分為兩個證書 - combinedcertchain2023.txt

    1. 在文字編輯器中開啟 combinedcertchain2023.txt

    2. 選擇並剪下第一個文字區塊,包括行 -----BEGIN CERTIFICATE----------END CERTIFICATE-----,然後將文字區塊貼到新檔案中。

    3. 將新檔案儲存為 root2023.txt

    4. 將原始檔案儲存為 issuing2023.txt。原始檔案現在應該只有一個文字區塊,由行 -----BEGIN CERTIFICATE----------END CERTIFICATE-----包圍。

  4. 將兩個文字檔案複製到您要保護的 XSP|ADP 上的臨時位置,例如/var/broadworks/tmp/root2023.txt/var/broadworks/tmp/issuing2023.txt

  5. 登入 XSP|ADP 並導航至 /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (可選)運行 help updateTrust 查看參數和命令格式。

  7. 將憑證檔案上傳到新的信任錨 - 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    所有別名必須有不同的名稱。webexclientroot2023webexclientissuing2023 是信任錨的範例別名;您可以使用自己的別名,只要所有條目都是唯一的。

  8. 確認起點已更新:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. 允許用戶端使用憑證進行身份驗證:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

新增 CTI 介面並啟用 mTLS

  1. 新增 CTI SSL 介面。

    CLI 內容視 BroadWorks 版本而有所不同。下列指令會在介面上建立自我簽署伺服器憑證,並強制介面索取用戶端憑證。

    • 在 BroadWorks R22 和 R23 上:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. 替換 XSP|ADP 的 CTI 介面上的伺服器憑證和金鑰。更換時需輸入 CTI 介面的 IP 位址;此位址可從下列內容中讀取:

    • 在 BroadWorks R22 和 R23 上:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      然後執行下列指令,即可用您自己的憑證和私密金鑰取代介面的自我簽署憑證:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. 重新啟動 XSP|ADP。

啟用存取 Webex 上的 BroadWorks CTI Events 的權限

當您在 Partner Hub 中設定您的叢集時,必須新增及驗證 CTI 介面。如需詳細說明,請參閱在 Partner Hub 中設定您的合作夥伴組織

  • 指定 Webex 可用來訂閱 BroadWorks CTI Events 的 CTI 位址。

  • CTI 訂閱是按訂閱者提供的服務,訂閱者必須先佈建 Webex for Cisco BroadWorks,才能使用 CTI 訂閱並接受其維護服務。